A segunda administração Trump tem seu primeiro debacle federal de cibersegurança para lidar.
Uma violação do sistema eletrônico de arquivamento de casos do judiciário federal dos Estados Unidos, descoberta por volta do dia 4 de julho, levou alguns tribunais a adotarem planos de arquivamento em papel de backup após o hack comprometer registros judiciais selados e possivelmente expor as identidades de informantes confidenciais e testemunhas cooperantes em vários estados dos EUA.
Mais de um mês após a descoberta da violação—e apesar de relatos recentes do The New York Times e do Politico de que a Rússia estava envolvida na perpetracão do hack—ainda não está claro exatamente o que aconteceu e quais dados e sistemas foram afetados.
O Politico foi o primeiro a relatar a violação do sistema de “gestão de casos/arquivos eletrônicos de casos”, ou CM/ECF, que pode ter impactado dossiês criminais, mandados de prisão e acusações seladas. O sistema CM/ECF também sofreu uma violação em 2020 durante a primeira administração Trump, e o Politico informou na terça-feira que, no ataque recente, hackers exploraram vulnerabilidades de software que permaneceram sem solução após serem descobertas há cinco anos em resposta a esse primeiro incidente. Pesquisadores de segurança afirmam que as lacunas nas informações públicas sobre a situação são preocupantes, especialmente quando se trata da falta de clareza sobre quais dados foram afetados.
“Estamos mais de um mês após a detecção dessa intrusão e ainda não temos um inventário completo do que está impactado”, diz Jake Williams, um ex-hacker da NSA e atual vice-presidente de pesquisa e desenvolvimento da Hunter Strategy. “Se não tivermos registros suficientes para reconstruir a atividade de ataque, isso seria extremamente decepcionante, porque este sistema tem sido repetidamente alvo ao longo dos anos.”
Em resposta a um pedido de comentário, os Tribunais dos Estados Unidos encaminharam a WIRED para sua declaração de 7 de agosto, que diz que o judiciário federal “está tomando medidas adicionais para fortalecer as proteções para documentos sensíveis de casos” e “melhorando ainda mais a segurança do sistema.” Os tribunais também mencionam que “a grande maioria dos documentos apresentados ao sistema de gestão de casos eletrônicos do Judiciário não são confidenciais e, de fato, estão prontamente disponíveis ao público”, enquanto admitem que “algumas apresentações contêm informações confidenciais ou proprietárias que estão seladas da visão pública.”
O Departamento de Justiça não respondeu imediatamente a pedidos de comentário sobre o escopo da violação ou quem a perpetraram.
Relatos desta semana de que a Rússia estava envolvida no ataque ou pode ser a única perpetradora foram difíceis de interpretar, dadas outras indicações de que atores de espionagem apoiados por vários países—e possivelmente sindicatos do crime organizado—podem ter estado envolvidos ou se aproveitando da violação para sua própria exfiltração.
John Hultquist, analista-chefe do Google Threat Intelligence Group, diz que não é incomum ver múltiplos atores atacando um sistema sensível e potencialmente vulnerável. “Investigações são regularmente alvo de atores de ciberespionagem de vários países”, diz ele.
As notícias sobre a violação surgem à medida que a administração Trump continuou a reduzir a força de trabalho federal, incluindo a remoção de funcionários ou pressão para que se demitam em agências de inteligência e cibersegurança.
“Acho que os investigadores federais provavelmente sabem quem está por trás do ataque, mas, dado o clima, eu suspeitaria que ninguém quer afirmar com certeza”, diz Williams da Hunter Strategy.
Múltiplas administrações têm lutado para lidar com operações de espionagem insidiosas, particularmente campanhas perpetradas por atores chineses e russos. Mas os pesquisadores enfatizam que as vulnerabilidades que possibilitaram o ataque ao CM/ECF deveriam ter sido resolvidas após a violação de 2021.
“Impor políticas para exigir que documentos selados ou altamente sensíveis sejam tratados através de sistemas isolados ou redes seguras em vez de através do CM/ECF ou PACER teria limitado drasticamente a exposição. E isso foi, de fato, recomendado após 2021”, diz Tim Peck, pesquisador sênior de ameaças da empresa de cibersegurança Securonix. “Instituir registros centralizados e consistentes—entre outras coisas—em todas as instâncias do CM/ECF poderia ter possibilitado a detecção mais precoce e mitigação rápida antes que a exfiltração de dados se agravasse tanto.”
Em outras palavras, sistemas altamente direcionados como os dos Tribunais dos EUA provavelmente sofrerão violações. Mas a melhor maneira de reduzir a probabilidade e a gravidade desses ataques é garantir que você corrija as falhas após elas serem exploradas pela primeira vez.